MYSQL数据库安全风险公告

最近我司工作人员陆续接到了不少云主机用户的反馈,反映其MYSQL数据库被黑,不少用户甚至数据也遭到了破坏,给用户造成了极大的损失。经我司工作人员仔细排查,发现被黑的MYSQL数据库均存在各式各样的安全隐患或漏洞,黑客通过这些漏洞入侵后非法添加了管理员,安装了后门、甚至进行了提权、或数据删除,对用户网站造成了极大负面影响,所以在此我们紧急提醒您,请立即核查自己的云主机是否也存在同样的问题,如果存在这些隐患,需要立即修补,以避免服务器被黑而造成巨大损失。


具体安全隐患如下:


1.数据库中登录用户密码为空(特别是root用户)。


危险指数:★★★★★


修补措施:立即设置复杂密码


2.数据库服务器未将安全更新升级到最新。


危险指数:★★★。


修补措施:及时为服务器打补丁


3.网站源程序中使用了root连接,且用户名、密码等全为明文。


危险指数:★★★★★


修补措施:强烈建议使用普通用户连接数据库,切勿使用root连接数据库。


4.数据库登录用户的密码(包含root)是弱密码.


危险指数:★★★★★


修补措施:立即设置8位以上数字、字母、特殊符号组成的复杂密码


5.root用户可以远程登录


危险指数:★★★★


修补措施:强烈建议用户禁止root远程登录,如果确实需要,也请设置IP限制.


6.安装phpmyadmin


危险指数:★★


修补措施:如非十分必要,建议删除掉phpmyadmin,如果确实需要使用,也建议对目录进行特殊设置,比如修改目录名,或设置访问IP限制。


建议有使用mysql数据库的云主机用户逐条对照以上安全隐患进行排查,一旦发现及时修补,以避免给黑客可剩之机,造成服务器被入侵或数据丢失,而引起不必要的损失。另外,若用户对网络安全不太熟悉,也可以考虑申请我司收费的安全加固服务,收费标准为100元/次,详情可提交工单申请。


希望您一定重视。感谢您对我司的支持,谢谢


泪雪互联